CrashFix проширење за Chrome
Истраживачи сајбер безбедности открили су активну кампању, названу KongTuke, која злоупотребљава злонамерно проширење за Google Chrome које се представља као блокатор огласа. Проширење је дизајнирано да намерно руши прегледач и манипулише жртвама да извршавају команде које контролишу нападачи путем социјалног инжењеринга у стилу ClickFix-а. Ова најновија еволуција технике добила је кодни назив CrashFix и на крају доноси раније недокументованог тројанца за даљински приступ познатог као ModeloRAT.
KongTuke, такође праћен као 404 TDS, Chaya_002, LandUpdate808 и TAG-124, функционише као систем за дистрибуцију саобраћаја (TDS). Он профилише окружења жртава и преусмерава одабране мете на инфраструктуру за испоруку злонамерног корисног терета. Приступ зараженим хостовима се затим продаје или преноси другим актерима претњи, укључујући оператере ransomware-а, како би се омогућиле компромиси секундарне фазе.
Претње које су раније примећене како користе TAG-124 инфраструктуру укључују Rhysida ransomware, Interlock ransomware и TA866 (Asylum Ambuscade). Активност је такође повезана са SocGholish и D3F@ck Loader, према извештају из априла 2025. године.
Преглед садржаја
Од Chrome веб продавнице до компромиса
У документованом ланцу инфекције, жртве су на мрежи тражиле блокатор огласа и добијале су злонамерни оглас који их је преусмеравао на проширење прегледача које се налази директно на званичној Chrome веб продавници.
Екстензија, под називом „NexShield – Advanced Web Guardian“ (ИД: cpcdkmjddocikjdkbbeiaafnpdbdafmi), представљала се као „ултимативни штит приватности“ тврдећи да блокира огласе, праћење, злонамерни софтвер и наметљив веб садржај. Пре уклањања, акумулирала је најмање 5.000 преузимања.
Технички гледано, екстензија је била готово идентичан клон легитимне екстензије за блокирање огласа. Међутим, испод познатог интерфејса, била је дизајнирана да приказује измишљено безбедносно упозорење у којем се наводи да је прегледач „ненормално зауставио рад“ и подстиче кориснике да покрену лажно скенирање наводно повезано са Мајкрософт Еџом.
Инжењеринг пада до поверења у производњу
Ако би корисник кликнуо да покрене скенирање, екстензија би приказивала упутства за отварање дијалога „Покрени“ у систему Windows и извршавање команде која је већ копирана у међуспремник. Чим би се то десило, екстензија би намерно покренула рутину за ускраћивање услуге која је креирала бескрајне везе са портовима током извршавања кроз бесконачну петљу, понављајући исти корак до милијарду пута.
Ово исцрпљивање ресурса изазвало је екстремну потрошњу меморије, чинећи прегледач спорим, неодзивним и на крају доводећи до пада система. Намерна нестабилност није била споредни ефекат, већ окидач социјалног инжењеринга.
Једном инсталирано, проширење је преносило јединствени идентификатор на сервер којим је контролисао нападач на nexsnield[.]com, омогућавајући праћење жртве. Злонамерна активност је одложена 60 минута након инсталације, након чега се поново извршавала сваких 10 минута.
Пре покретања DoS рутине, екстензија је сачувала временску ознаку у локалној меморији. Када би корисник присилно затворио и поново покренуо прегледач, програм за покретање је проверавао ову вредност. Ако је присутна, појављивао би се искачући прозор CrashFix, а затим би брисао временску ознаку, стварајући илузију да је упозорење последица пада система, а не његов узрок.
DoS рутина је извршена само када су испуњена три услова: постојао је UUID жртве, сервер за командно-контролни систем је успешно одговорио и искачући прозор је отворен и затворен барем једном. Ова логика снажно сугерише да су оператери желели да потврде интеракцију корисника пре него што у потпуности активирају петљу корисног терета.
Резултат је био самоодржавајући циклус. Свако присилно поновно покретање након замрзавања поново је покренуло лажно упозорење. Ако је екстензија остала инсталирана, понашање које је указивало на пад система се настављало након десет минута.
Замагљивање, анти-анализа и живот од земље
Лажни искачући прозор је имплементирао неколико мера против анализе, онемогућавајући контекстне меније десног клика и блокирајући пречице на тастатури које се обично користе за приступ алатима за програмере.
Команда CrashFix је злоупотребила легитимни Windows услужни програм finger.exe да би преузела и извршила секундарни корисни терет са адресе 199.217.98[.]108. Употреба услужног програма Finger од стране KongTuke-а је претходно документована у децембру 2025. године.
Преузети корисни терет била је PowerShell команда која је преузела додатни скрипт, који је скривао свој садржај кроз више слојева Base64 кодирања и XOR операција, подсећајући на технике које су дуго повезане са SocGholish кампањама.
Након дешифровања, скрипта је скенирала активне процесе за више од 50 познатих алата за анализу и индикатора виртуелних машина и одмах се прекинула ако би их пронашла. Такође је проценила да ли је систем придружен домену или је део самосталне радне групе, а затим је послала HTTP POST захтев назад истом серверу који је садржао:
- Листа инсталираних антивирусних производа
- Заставица класификације хоста: „ABCD111“ за самосталне системе и „BCDA222“ за машине придружене домену
ModeloRAT: Прилагођено корпоративним окружењима
Ако је заражени систем идентификован као систем придружен домену, ланац инфекције је кулминирао постављањем ModeloRAT-а, тројанца за даљински приступ Windows-у заснованог на Пајтону. Злонамерни софтвер комуницира преко RC4-шифрованих канала са командним и контролним серверима на 170.168.103[.]208 или 158.247.252[.]178.
ModeloRAT успоставља перзистентност путем Windows регистра и подржава извршавање бинарних датотека, DLL-ова, Python скрипти и PowerShell команди. Такође укључује уграђене контроле животног циклуса, омогућавајући оператерима да даљински ажурирају имплантат или га прекину помоћу наменских команди.
RAT имплементира вишеслојну стратегију сигнализације дизајнирану да избегне детекцију понашања:
- Под нормалним условима, сигнализира сваких 300 секунди.
- Када га сервер пребаци у активни режим, он агресивно испитује у подесивом интервалу, подразумевано 150 милисекунди.
- Након шест узастопних кварова у комуникацији, враћа се на интервале од 900 секунди.
- Након једног квара, покушава поново да се повеже након 150 секунди пре него што се врати на стандардно време.
Ова адаптивна логика омогућава ModeloRAT-у да се уклопи у мрежни саобраћај, а истовремено подржава брзу интеракцију оператера када је то потребно.
Двострука стратегија инфекције
Иако примена ModeloRAT-а на системима повезаним са доменом снажно указује на фокус на корпоративна окружења и дубљу пенетрацију мреже, самосталне машине су пролазиле кроз другачији вишестепени низ. У тим случајевима, командно-контролни сервер је на крају одговорио поруком „ТЕСТ ПОТЕРЕТ!!!!“, што сугерише да је овај паралелни пут инфекције можда још увек у развоју.
Шира слика: Социјални инжењеринг по дизајну
KongTuke-ова кампања CrashFix илуструје како савремени актери претњи усавршавају друштвени инжењеринг у потпуно пројектовану контролну петљу. Лажно се представљајући као поуздан пројекат отвореног кода, намерно дестабилизујући прегледач, а затим представљајући фалсификовану исправку, нападачи су фрустрацију корисника претворили у сагласност.
Операција показује како се екстензије прегледача, поуздана тржишта и алати за живот од земље могу спојити у отпоран ланац инфекције, онај који опстаје не само прикривеношћу, већ и вишеструким манипулацијама жртве да сама покрене напад.
